COBIT Keretrendszer I. Szikora Zsolt, DE 2008

Átírás

1 COBIT Keretrendszer I Szikora Zsolt, DE 2008

2 Tartalom 1. Bevezetés 2. Alap kérdések (Miért? Ki? Mit? ) + Hogyan? 3. Információ-kritériumok 4. Üzleti és Informatikai célok, EF mngmnt 5. Szakterületek(PO, AI, DS, ME) 6. Folyamat Kontroll Modell 7. Kontrollok, általános kontroll célkitűzések (Pcn) 8. Üzleti, informatikai, általános, alkalmazás) 9. Felelősség 10.Alkalmazás kontroll célkitűzések (ACn) 11.Mérések [ Érettségi modellek Dévai Vince mesterjelölt társamtól] Szikora Zsolt, Unideb CobiT keretrendszer 1. 2

3 Bevezetés - COBIT Küldetése Egy irányadó, naprakész, nemzetközileg elfogadott informatikai irányítási kontroll keretrendszer kutatása, kidolgozása, közzététele és népszerűsítése annak érdekében, hogy a vállalatok átvegyék, és hogy az üzleti vezetők, az informatikai szakemberek, és a bizonyosság nyújtást végző szakemberek munkájuk során rendszeresen használják Szikora Zsolt, Unideb CobiT keretrendszer 1. 3

4 Alap kérdések Az informatikai irányítást szolgáló kontroll keretrendszer meghatározza azokat az okokat, amiért szükség van az informatikai irányításra, kik az érdekelt felek, és mit kell elérnie Szikora Zsolt, Unideb CobiT keretrendszer 1. 4

5 Alap kérdések Miért kell ez? A felső vezetés felismeri, h az információ egyre inkább hat a vállalati sikerességre A sikeres vállalatok tisztában vannak az informatika kockázataival, és hasznosítják annak előnyeit Alapvető az IT rendszer átfogó és számszerűsíthető(!) minősíthetősége Szikora Zsolt, Unideb CobiT keretrendszer 1. 5

6 Alap kérdések Kik az érdekeltek? Belső IT értékteremtők beruházási döntéshozók követelménymeghatározók IT szolgáltatás felhasználói Belső & Külső szolgáltatásnyújtók IT szerv és szolg-mngmnt szolg képességfejlesztők szolg-üzemeltetők Belső & Külső kontroll-/kockázatfelelősök biztonság/védelem-felelősök, megfelelőségbiztosítók, bizonyosság nyújtási szolgáltatások megrendelői és nyújtói Szikora Zsolt, Unideb CobiT keretrendszer 1. 6

7 Alap kérdések Mit ad a rendszer? Üzleti és Informatikai célkitűzések illeszthetők általa üzletközpontúságot biztosít Érthető szerkezetű folyamat-központú leírást használ az informatikai irányítás kiterjedésének és hatókörének megadásakor Általánosan elfogadható konzisztens az elfogadott informatikai bevált gyakorlatokkal és szabványokkal, technológia-független. Érthető közös nyelvet biztosít az összes érdekelt fél számára (fogalomkészlet és definíciók) Segíti a szabályozási követelmények teljesítését következetesen megfelel az általánosan elf ogadott vállalatirányítási szabványoknak (például a COSO-nak) és a hatóságok és a külső auditorok által elvárt informatikai kontrolloknak Szikora Zsolt, Unideb CobiT keretrendszer 1. 7

8 Hogyan működik a COBIT? ALAPELVEK 1.Üzlet-központú 2.Folyamatközpontú 3.Kontroll-alapú 4.Mérték-alapú Szikora Zsolt, Unideb CobiT keretrendszer 1. 8

9 COBIT információ-kritériumai Az üzleti célok eléréséhez az információknak ki kell elégíteniük bizonyos kontroll kritériumokat (információkra vonatkozó üzleti követelményeket) 1.Eredményesség 2.Hatékonyság 3.Bizalmasság 4.Sértetlenség 5.Rendelkezésre állás 6.Megfelelőség 7.Megbízhatóság Szikora Zsolt, Unideb CobiT keretrendszer 1. 9

10 Üzleti célok és Informatikai célok viszonya Lásd: CobiT 4.1 leírás I. melléklete, ami valójában három táblázatból áll Szikora Zsolt, Unideb CobiT keretrendszer 1. 10

11 Az inf. célok és a vállalati inf. architektúra meghatározása Szikora Zsolt, Unideb CobiT keretrendszer 1. 11

12 Az inf. EFok menedzselése (az inf. célok teljesítése érdekében!) Szikora Zsolt, Unideb CobiT keretrendszer 1. 12

13 A COBIT négy szakterülete A COBIT az informatikai tevékenységeket négy szakterületbe csoportosítva, egy általános folyamat modell keretében határozza meg. Plan and Organise Tervezés és Szervezés (PO) A megoldásszállításra (AI) és a szolgáltatásnyújtásra (DS) vonatkozóan megadja az irányvonalat Acquire and Implement Beszerzés és megvalósítás (AI) Gondoskodik a megoldásokról és továbbadja azokat, hogy szolgáltatások váljanak belőlük Szolgáltatás és támogatás (DS) Megkapja a megoldásokat, és használhatóvá teszi azokat a végfelhasználók számára Deliver and Support Monitor and Evaluate Figyelemmel kísérés és értékelés (ME) Figyelemmel kíséri az összes folyamatot, hogy gondoskodjon a kijelölt irány követéséről Szikora Zsolt, Unideb CobiT keretrendszer 1. 13

14 A szakterületek kapcsolata Szikora Zsolt, Unideb CobiT keretrendszer 1. 14

15 Folyamat és cél-kontroll A négy szakterületen belül a COBIT 34 általánosan használt informatikai folyamatot rögzített. A COBIT a folyamatok teljes listáját biztosítja, amely felhasználható a tevékenységek és a felelősségek teljességének ellenőrzésére; azonban nem mindegyiket kell alkalmazni minden egyes vállalatnál. A folyamatok mindegyikét Szikora Zsolt, Unideb CobiT keretrendszer 1. 15

16 Kontroll modell KONTROLL Olyan irányelvek, szabályzatok, eljárások, gyakorlatok és szervezeti struktúrák összessége, melyeket arra hoztak létre, hogy ésszerű bizonyosságot adjanak arra, hogy az üzleti célkitűzések elérhetők, a nemkívánatos események megelőzhetők, illetve felismerhetők, és helyesbíthetők Szikora Zsolt, Unideb CobiT keretrendszer 1. 16

17 Folyamatok, kontroll célkitűzések és általános kontroll követelmények A COBIT minden egyes informatikai folyamata rendelkezik egy folyamat leírással, és néhány kontroll célkitűzéssel. Egy jólmenedzselt folyamatnak általánosságban rendelkeznie kell ezekkel. A kontroll célkitűzések azonosítása kétkarakteres szakterület hivatkozással (PO, AI, DS ME), valamint a folyamat számával és egy kontroll célkitűzési számmal történik. A kontroll célkitűzések mellett minden egyes COBIT folyamat rendelkezik általános kontroll követelményekkel, amelyeket a folyamat kontroll számát j elölő (PCn) szám azonosít be. Ezeket együtt kell figyelembe venni a folyamat kontroll célkitűzésekkel annak érdekében, hogy a kontroll követelményekről teljes képet kapjunk Szikora Zsolt, Unideb CobiT keretrendszer 1. 17

18 Általános kontroll követelmények PC1 Folyamat céljai és célkitűzései PC2 Folyamat felelősség PC3 Folyamat megismételhetőség PC4 Szerepkörök és felelősségek PC5 Irányelv, tervek és eljárások PC6 Folyamat teljesítményének javítása Szikora Zsolt, Unideb CobiT keretrendszer 1. 18

19 Amit még kapunk a folyamatokhoz A COBIT az alábbiakra vonatkozóan olyan példákat biztosít minden egyes folyamatra vonatkozóan, amelyek szemléletesek, de nem előíró, illetve kimerítő felsorolás jellegűek. Általános bemenetek és kimenetek A szerepkörökre és felelősségekre vonatkozó tevékenységek és útmutatás a tevékenység-felelős hozzárendelési mátrix (RACI mátrix: Responsible, Accountable, Consulted, Informed) segítségével Kulcsfontosságú tevékenység célok (a legfontosabb teendők) Metrikák Szikora Zsolt, Unideb CobiT keretrendszer 1. 19

20 Üzleti és Informatikai kontrollok A vállalat belső irányítási és ellenőrzési rendszere három szinten van hatással az informatikára Felső vezetői szinten Üzleti folyamat szinten Az üzleti folyamatok támogatása érdekében Szikora Zsolt, Unideb CobiT keretrendszer 1. 20

21 Általános kontrollok Az általános kontrollok az informatikai folyamatokba és szolgáltatásokba beágyazott kontrollok. Az általános kontrollokra példák az alábbiak: Rendszerek fejlesztése Változáskezelés Biztonság Számítógép üzemeltetés Szikora Zsolt, Unideb CobiT keretrendszer 1. 21

22 Alkalmazás Kontrollok Az üzleti folyamat alkalmazásokba beágyazott kontrolljaira általában alkalmazás kontrollokként hivatkoznak. A példák közé tartoznak az alábbiak: Teljesség Pontosság Érvényesség Engedélyezés A felelősségek elhatárolása Szikora Zsolt, Unideb CobiT keretrendszer 1. 22

23 Felelősségi területek 1. A COBIT feltételezi, hogy az automatizált alkalmazás kontrollok megtervezése és megvalósítsa az informatika felelőssége, amelyet a Beszerzés és megvalósítás szakterület fed le, a COBIT információ-kritériumainak felhasználásával meghatározott üzleti követelmények alapján Az alkalmazás kontrollok üzemeltetésének menedzselése és kontrollja nem az informatika felelősségi körébe tartozik, hanem az üzleti folyamat felelősökébe. Következésképpen az alkalmazás kontrollokért való felelősség az üzleti területek és az informatika közös felelőssége, de a felelősségek jellege az alábbiak szerint változik Szikora Zsolt, Unideb CobiT keretrendszer 1. 23

24 Felelősségi területek 2. Az üzleti területek a felelősek... A funkcionális és kontroll követelmények meghatározásáért Az automatizált szolgáltatások használata Az informatika a felelős... az üzleti funkcionális és kontroll követelmények automatizálásáért és megvalósításáért kontrollok létrehozásáért az alkalmazás kontrollok sértetlenségének fenntartása érdekében Ezért a COBIT informatikai folyamatai lefedik az általános informatikai kontrollokat, de az alkalmazás kontrolloknak csak a fejlesztési szempontjait; a kontrollok meghatározásának és napi alkalmazásának felelőssége az üzleti területeket terheli Szikora Zsolt, Unideb CobiT keretrendszer 1. 24

25 Felelősségi területek Szikora Zsolt, Unideb CobiT keretrendszer 1. 25

26 Alkalmazás kontroll célkitűzések AC1 Forrásadatok előkészítése és engedélyezése AC2 Forrásadatok összegyűjtése és bevitele AC3 Pontossági, teljességi és hitelességi ellenőrzések AC4 Feldolgozás sértetlensége és érvényessége AC5 Kimenet felülvizsgálat, egyeztetés és hibakezelés AC6 Tranzakció hitelesítése és sértetlensége Szikora Zsolt, Unideb CobiT keretrendszer 1. 26

27 Mit kellene mérni és hogyan? A vállalkozásoknak mérniük kell azt, hogy hol tartanak, és hol van szükség fejlesztésre, és be kell vezetniük egy vezetési eszköztárt ezen fejlesztések figyelemmel kíséréséhez. A COBIT e kérdésekkel foglalkozik oly módon, hogy az alábbiakat nyújtja: Érettségi modelleket, amelyek lehetővé teszik az összehasonlító értékelést és a szükséges képesség fejlesztések meghatározását. Az informatikai folyamatokhoz kapcsolódó teljesítmény célokat és metrikákat, amelyek szemléltetik, hogy a folyamatok hogyan teljesítik az üzleti és az informatikai célokat és segítségükkel mérhető a belső folyamat teljesítmény a kiegyensúlyozott stratégiai mutatószámrendszer alapelvei alapján. Tevékenységi célokat, az eredményes folyamat teljesítmény megvalósítása érdekében Szikora Zsolt, Unideb CobiT keretrendszer 1. 27

28 Érettségi modellek Erről már Dévai Vince fog szólni... KÖSZÖNÖM A FIGYELMET Szikora Zsolt, Unideb CobiT keretrendszer 1. 28